Como o ' SafePass ' cartão do Bank of America funciona?


Melhor resposta

Não tenho certeza, mas parece que o SafePass é apenas um token de geração de OTP simples.

Isso provavelmente usa o algoritmo HOTP baseado em contador ( Algoritmo de senha única baseada em HMAC ) conforme definido pelo RFC 4226 ( HOTP: um algoritmo de senha única com base em HMAC ).

Ele também pode usar um algoritmo TOTP baseado em tempo ( Algoritmo de senha única com base em tempo ), mas dado o tamanho do cartão, tal dispositivo expiraria mais cedo devido ao uso da bateria para manter o relógio.

Cartões destes fatores de forma têm produzido senhas de uso único (OTP) há quase uma década. Eles têm uma pequena bateria, um chip que armazena a chave secreta, um “botão” que aciona a geração OTP e um display de tinta eletrônica de baixa potência que só requer energia para alterar a tela com a nova senha.

A maneira como essas senhas e tokens OTP são sincronizados com um site são semelhantes a:

1. o fabricante do dispositivo coloca uma chave secreta no cartão e associa a chave secreta a um número de série que está impresso em algum lugar do cartão.

2. um grupo de cartões é fornecido ao proprietário do site (banco, etc.) junto com um arquivo (geralmente criptografado) contendo uma lista de números de série de cartões e a chave secreta associada. você pede este cartão especial no site (também conhecido como banco, paypal etc.) e o site associa o ID do cartão à sua conta.

4. você “cadastra” o seu cartão no site, passando por um processo especial no site. você pressiona um botão no cartão para obter um código (OTP) que você fornece ao site. A carta usa um contador que começa em 0 e aumenta a cada pressionamento de botão (1, 2, 3, …). O site procura o cartão associado à sua conta e usa um software especial com a chave secreta associada ao cartão para calcular o mesmo OTP com um valor de contador de 0. Se não corresponder, ele tenta o próximo valor de contador (1) e continua até o máximo até encontrar uma correspondência ou não (erro). às vezes, ele solicitará alguns valores de OTP em uma linha para encontrar melhor uma correspondência. se uma correspondência for encontrada, ele registra o valor do contador de sua conta para referência futura.

5. ao fazer login, você fornece seu nome de usuário, senha e OTP. Alguns sites permitem que você anexe o OTP após sua senha. O software de servidor especial calcula o que pensa ser a OTP para o próximo valor do contador para sua conta e cartão. Se você pressionou o botão algumas vezes, o servidor verificará alguns valores do contador à frente para ver se encontra uma correspondência.

6. Se o OTP corresponder, o site autenticou sua senha e o OTP do cartão atribuído a você. Esta é a autenticação de dois fatores: algo que você sabe (senha) algo que você possui (o cartão / token atribuído a você).

Um fornecedor que faz esses tipos de tokens é Nagra ID: NagraID Fabricante suíço de smart card de última geração

Resposta

Não é diferente de um token rígido que você usa para se conectar a uma VPN. Você não está realmente sincronizando-o com o site, você está apenas gerando e validando o token com o algoritmo / criptografia assimétrica.

Deixe uma resposta

O seu endereço de email não será publicado. Campos obrigatórios marcados com *